Keine Werbung mögen? Gehen Werbefrei Heute

Estimator für die Crack-Zeit von Passwort-Hashes

EntwicklerSicherheit
ANZEIGE Entfernen?
[iotools_password_hash_crack_time_estimator]
ANZEIGE Entfernen?

Verwandte Tools

Einige andere Tools ähnlich Estimator für die Crack-Zeit von Passwort-Hashes die Sie vielleicht nützlich finden.

CSR (Antrag auf Zertifikatsausstellung) Generator
EntwicklerNetzwerk

Merkle-Baum-Generator & Visualisierer
DatenEntwickler

Playfair-Cipher-Encoder & Decoder
EntwicklerSicherheit

Führung

Passwort-Hash-Knackzeit-Schätzer

Estimator für die Crack-Zeit von Passwort-Hashes

Schätzt die Zeit ab, die ein echter Angreifer benötigt, um ein Passwort mit einem bestimmten Hash-Algorithmus durch Brute-Force zu knacken. Der Schätzer kombiniert Hashcat-Grade Hash-Raten mit dem Schlüsselraum Ihrer gewählten Passwortkonstruktion und gibt eine Knackzeit für vier Angreiferstufen aus: einen Budget-GPU, einen einzelnen RTX 4090, einen professionellen acht-GPU-Cluster und einen staatlichen Botnetz aus tausend H100-Verstärkern.

Im Gegensatz zu allgemeinen Stärke-Metern versteht dieses Tool, dass nicht alle Hashes gleich sind. Ein zwölfstelliges Passwort, geschützt durch MD5, wird in Sekunden geknackt; das gleiche Passwort hinter Argon2id mit sinnvollen Parametern kann jedoch Jahrzehnte lang vor Nationenresourcen bestehen. Die Auswahl des Algorithmus und seiner Kostenparameter ist oft wichtiger als die Erhöhung der Passwortlänge.

Nutzung

  1. Wählen Sie den Hash-Algorithmus, den Ihre Anwendung zum Speichern von Passwörtern verwendet.
  2. Wenn es eine Schlüsselabgleichfunktion ist, stellen Sie deren Kostenparameter ein. Bei bcrypt handelt es sich um den Kostenfaktor; bei scrypt um das N-Parameter; bei Argon2id um die Speichergröße in Megabyte und die Iterationsanzahl; bei PBKDF2 um die Iterationsanzahl.
  3. Geben Sie die Länge des zu bewertenden Passworts ein und wählen Sie die Zeichenmenge, aus der es besteht.
  4. Lesen Sie die Zeile mit der Knackzeit für die Angreiferstufe, die Sie interessiert. Der Empfehlungs-Banner verwendet die Stufe des professionellen Clusters als realistische Obergrenze für einen motivierten Offline-Angreifer.
  5. Iterieren Sie über den Algorithmus, die Kosten, die Länge oder die Zeichenmenge, bis die Bewertung für die abgewehrte Bedrohung grün wird.

Funktionen

  • Acht Algorithmen — MD5, SHA-1, SHA-256, SHA-512, bcrypt, scrypt, Argon2id und PBKDF2-HMAC-SHA256, einschließlich ihrer gesalzenen, speicherharten und iterativen Variante.
  • Vier Angreiferstufen — Budget-GPU, einzelner RTX 4090, professioneller acht-GPU-Cluster und ein staatlicher Botnetz aus tausend H100-Verstärkern, jeweils kalibriert an veröffentlichten Hashcat 6.x-Benchmarks.
  • Kostenbewusste KDF-Vergrößerung — Der bcrypt-Kostenfaktor, das scrypt-N-Parameter, die Argon2id-Memory- und Zeitparameter sowie die PBKDF2-Iterationen skalieren die pro-Stufe Hash-Rate, sodass eine Änderung eines Parameters sofort die Bewertung verändert.
  • Logarithmische Mathematik — Behandelt lange Passwörter und große Schlüsselräume ohne Überlauf, sodass ein dreißigzeiliges Symbolpasswort immer noch sinnvolle Zahlen erzeugt statt Unendlichkeit.
  • Farbgekennzeichnete Bewertungen — Von „in Sekunden geknackt“ über „exzellent“ bis hin zu jeder Zeile erhält ein Bewertungs-Kugel, die der Zeitklasse entspricht, plus eine allgemeine Empfehlung, die auf der Stufe des professionellen Clusters basiert.
  • Sechs Zeichenmengen — PINs aus Ziffern bis hin zur vollständigen neunzigzeiligen ASCII-Druckzeichenmenge, wobei die Zeichenanzahl neben jeder Option angegeben ist, damit klar ist, was Sie mit zusätzlicher Vielfalt kaufen.

ANZEIGE Entfernen?

Häufig gestellte Fragen

  1. Was ist eine Hash-Rate und warum variiert sie so stark zwischen Algorithmen?

    Die Hash-Rate ist die Anzahl der Versuche pro Sekunde, die ein Hardware-Element gegen ein Ziel-Hash testen kann. Schnelle, unsalzene Designs wie MD5 und SHA-256 sind im Wesentlichen ein einzelner Durchlauf einer Kompression, sodass ein moderner GPU bis zu zehn Milliarden pro Sekunde durchführen kann. Schlüsselabgleichfunktionen wie bcrypt, scrypt und Argon2id machen jeden Versuch absichtlich teuer in CPU-Zyklen, Speicher oder beidem, was die Rate um sechs bis neun Größenordnungen reduziert. Dieser Abstand ist der gesamte Sinn, einen KDF für das Speichern von Passwörtern zu verwenden.

  2. Warum sind Speicherharte Funktionen wie scrypt und Argon2id gegenüber GPUs besser als PBKDF2?

    PBKDF2 wiederholt einfach ein HMAC viele Male, was sich problemlos über die Tausende kleiner Kerne auf einer GPU verteilt. Speicherharte Designs erzwingen, dass jeder Versuch eine große, zufällige Arbeitsmenge im RAM berührt, was die begrenzte Speicherbandbreite und den auf der Chip-Platine befindlichen Cache der GPU-Kerne enthüllt. Das Ergebnis ist, dass Angriffe mit speziellen ASICs oder GPUs den Großteil ihres Vorteils verlieren, und die Kosten für Brute-Force steigen mit der Menge an Siliziumfläche, die der Angreifer bereitstellen will.

  3. Wie wird der bcrypt-Kostenfaktor in reale Zeit umgerechnet?

    Der bcrypt-Kostenfaktor ist ein Exponent: ein Kostenwert von N führt zu zwei hoch N Runden des Blowfish-Schlüsselsetups. Wenn der Kostenfaktor um eins erhöht wird, verdoppelt sich sowohl die Zeit für die Berechnung eines gültigen Anmeldes als auch die Zeit, die ein Angreifer pro Versuch verbringt. Der Defender absorbiert einige zusätzliche Millisekunden pro Authentifizierung; der Angreifer absorbiert das gleiche Verdoppelung über den gesamten Schlüsselraum, weshalb ein Schub des Kostenfaktors von zehn auf zwölf eine der günstigsten Sicherheitsgewinne darstellt.

  4. Welcher Unterschied besteht zwischen dem schlimmsten und dem durchschnittlichen Brute-Force-Zeit?

    Der schlimmste Fall ist die Zeit, um den gesamten Schlüsselraum auszuschöpfen, was nur relevant ist, wenn der Angreifer alle möglichen Passwörter finden muss. Der erwartete, oder durchschnittliche, Zeitwert beträgt die Hälfte davon, weil im Durchschnitt das richtige Passwort in der Mitte eines gleichmäßig zufälligen Suchverlaufs liegt. Dieser Schätzer gibt den durchschnittlichen Fall an, der in kryptographischen Bedrohungsmodellen am häufigsten verwendet wird.

  5. Berücksichtigen diese Schätzungen Dictionaries, Rainbow-Tables und Passwortleaks?

    Nein, die Schätzungen gehen davon aus, dass das Passwort gleichmäßig aus der gewählten Zeichenmenge gezogen wird. Echte Angreifer beginnen mit gelösten Passwortlisten, allgemeinen Substitutionen und gezielten Wörterbüchern, was den effektiven Schlüsselraum für menschlich gewählte Passwörter reduziert. Die Zahlen hier stellen eine Obergrenze für den Angriffsaufwand gegen ein vollständig zufälliges Passwort und eine Untergrenze für den Wert der Verwendung eines langsamen KDF, Salz und Rate-Limiting auf der Anwendungsebene dar.

Möchten Sie werbefrei genießen? Werde noch heute werbefrei

Erweiterungen installieren

IO-Tools zu Ihrem Lieblingsbrowser hinzufügen für sofortigen Zugriff und schnellere Suche

Zu Chrome-Erweiterung Zu Kantenerweiterung Zu Firefox-Erweiterung Zu Opera-Erweiterung

Die Anzeigetafel ist eingetroffen!

Anzeigetafel ist eine unterhaltsame Möglichkeit, Ihre Spiele zu verfolgen. Alle Daten werden in Ihrem Browser gespeichert. Weitere Funktionen folgen in Kürze!

ANZEIGE Entfernen?

Unverzichtbare Tools

Alle
Hintergrundentferner
KI-Bildeditor
KI-Bildgenerator
ImageKit
PDF Compressor
Bildkonverter
Einmaliger Link
ANZEIGE Entfernen?

Neuheiten

Alle
CSR (Antrag auf Zertifikatsausstellung) Generator
Betonvolumen & Fassungsgrad-Rechner
RSS / Atom Feed Generator
Markdown Link & Image Extractor
Excel (XLSX) in CSV-Wandler
Prettier Konfigurationsgenerator
CSS-Laden-Animation-Generator

Aktualisieren: Unser neuestes Werkzeug wurde am 11. Juni 2026 hinzugefügt

ANZEIGE Entfernen?

Nachrichtenecke mit technischen Highlights

Beteiligen Sie sich

Helfen Sie uns, weiterhin wertvolle kostenlose Tools bereitzustellen

Kauf mir einen Kaffee
ANZEIGE Entfernen?